Przykłady naruszeń danych osobowych w codziennej praktyce rzadko przypominają spektakularne ataki hakerskie czy wycieki milionów rekordów opisywane w mediach. Zdecydowanie częściej są to pozornie drobne, rutynowe sytuacje, wynikające z pośpiechu, automatycznych działań lub błędnych założeń w rodzaju „to przecież nic poważnego”. Właśnie dlatego takie naruszenia bywają najbardziej niebezpieczne – nie dlatego, że zawsze niosą wysokie ryzyko, lecz dlatego, że łatwo je przeoczyć albo zlekceważyć.
RODO nie koncentruje się bowiem na intencjach osób przetwarzających dane, lecz na skutkach zdarzenia i potencjalnym ryzyku dla osoby fizycznej. Oznacza to, że nawet typowy „ludzki błąd” może stanowić naruszenie ochrony danych osobowych, jeżeli prowadzi do utraty kontroli nad danymi, ich nieuprawnionego ujawnienia lub ograniczenia dostępności, które może mieć znaczenie dla praw i wolności osoby, której dane dotyczą.
Spis treści
Czym w praktyce jest naruszenie danych osobowych?
W praktycznym, „życiowym” ujęciu naruszenie danych osobowych to każda sytuacja, w której dane osobowe znalazły się poza kontrolą administratora – nawet na krótki moment. Może to oznaczać, że ktoś nieuprawniony uzyskał do nich dostęp, że dane zostały utracone, zniszczone albo że osoba uprawniona nie ma do nich dostępu wtedy, gdy go potrzebuje.
Przykładowo: jeżeli pracownik nie może przez kilka dni uzyskać dostępu do dokumentacji kadrowej, bo system uległ awarii i nie ma kopii zapasowej, to mamy do czynienia z naruszeniem dostępności danych. Jeżeli dane zostały wysłane do niewłaściwego adresata – to naruszenie poufności. Jeżeli ktoś przypadkowo zmienił dane w systemie, a administrator nie jest w stanie ustalić, jaka była pierwotna treść – to naruszenie integralności.
Kluczowe jest to, że naruszenie nie musi być trwałe ani nieodwracalne, aby zostało zakwalifikowane jako naruszenie w rozumieniu RODO.
Przykłady naruszeń danych osobowych
Naruszenia wynikające z błędów ludzkich
Błędy ludzkie to zdecydowanie najczęstsza przyczyna naruszeń danych osobowych. Co istotne, są one również najczęściej bagatelizowane, ponieważ wydają się „zwyczajne” i „bez złej woli”.
Typowym przykładem jest wysłanie e-maila do niewłaściwego odbiorcy. Może to być sytuacja, w której pracownik działu kadr wysyła listę wynagrodzeń do osoby o podobnym nazwisku albo omyłkowo dołącza załącznik zawierający dane innego pracownika. Często pojawia się myślenie: „przecież odbiorca zaraz skasuje wiadomość”. Tymczasem sam fakt ujawnienia danych już nastąpił, a administrator traci kontrolę nad tym, co faktycznie zrobił odbiorca.
Inny bardzo częsty przykład to wysyłka korespondencji w kopii otwartej (DW), zamiast w ukrytej kopii (UDW). Jeżeli firma wysyła newsletter do klientów i przypadkowo ujawnia adresy e-mail wszystkich odbiorców, mamy do czynienia z naruszeniem poufności. Ryzyko będzie inne w przypadku sklepu internetowego, a inne w przypadku gabinetu psychologicznego czy kancelarii prawnej – ale naruszenie występuje w obu przypadkach.
Równie dobrym przykładem jest także rozmowa telefoniczna prowadzona w miejscu publicznym, podczas której pracownik omawia szczegóły sprawy klienta, podając jego imię, nazwisko i inne dane identyfikujące. Choć dane nie zostały „zapisane”, mogły zostać usłyszane przez osoby trzecie, co również może stanowić naruszenie.
Naruszenia związane z dokumentacją papierową
Mimo postępu cyfryzacji dokumentacja papierowa nadal generuje ogromną liczbę naruszeń. Przykładem może być pozostawienie akt osobowych na biurku po godzinach pracy lub w pomieszczeniu, do którego dostęp mają osoby postronne – np. sprzątanie, ochrona, goście.
Częstą sytuacją jest także zagubienie dokumentów podczas transportu – np. teczki z dokumentacją medyczną przewożonej między placówkami lub dokumentów kadrowych przekazywanych do biura rachunkowego. Nawet jeśli dokumenty zostaną później odnalezione, administrator nie ma pewności, czy ktoś nie zapoznał się z ich treścią.
Innym realnym przykładem jest niewłaściwe niszczenie dokumentów. Wyrzucenie listy obecności, umów czy formularzy zawierających dane osobowe do zwykłego kosza zamiast do niszczarki jest klasycznym naruszeniem poufności, nawet jeśli „nikt nie grzebał w śmieciach”.
Naruszenia w systemach IT
W obszarze IT naruszenia bardzo często wynikają nie z ataków zewnętrznych, lecz z błędnych konfiguracji i zaniedbań organizacyjnych. Przykładem może być udostępnienie folderu z danymi osobowymi na serwerze bez odpowiednich ograniczeń dostępu. Plik może być dostępny dla wszystkich pracowników, mimo że powinien być widoczny tylko dla działu kadr.
Częstym problemem jest brak odebrania dostępów byłemu pracownikowi. Nawet jeżeli nie ma dowodów, że korzystał on z danych po zakończeniu współpracy, sam fakt istnienia takiej możliwości wymaga analizy. W praktyce organy nadzorcze coraz częściej uznają takie sytuacje za naruszenie.
Do naruszeń dochodzi także w wyniku awarii systemów lub błędów aktualizacji. Jeżeli firma traci dostęp do danych klientów na kilka dni i nie ma aktualnych kopii zapasowych, mamy do czynienia z naruszeniem dostępności danych, które może uniemożliwić realizację praw osób, których dane dotyczą.
Czy każde zdarzenie trzeba zgłaszać do UODO?
To pytanie pojawia się niemal zawsze bezpośrednio po wykryciu incydentu i bardzo często wywołuje niepotrzebny stres. Intuicyjną reakcją bywa chęć „zgłoszenia wszystkiego na wszelki wypadek” albo – przeciwnie – szybkie założenie, że skoro sytuacja wydaje się błaha, to nie ma potrzeby angażować organu nadzorczego. Oba podejścia są błędne. RODO nie nakłada obowiązku zgłaszania każdego naruszenia ochrony danych osobowych. Nakłada natomiast obowiązek analizy każdego zdarzenia, które może mieć wpływ na bezpieczeństwo danych. Zgłoszenie do Prezesa UODO jest wymagane wtedy, gdy naruszenie może skutkować ryzykiem naruszenia praw lub wolności osoby fizycznej. Kluczowe jest tu słowo „może”, które nie oznacza pewności wystąpienia szkody, ale realną możliwość jej wystąpienia.
W praktyce oznacza to, że pierwszym krokiem po wykryciu incydentu nie powinno być pytanie „czy zgłaszamy?”, lecz „jakie realne konsekwencje to zdarzenie może mieć dla osoby, której dane dotyczą?”. Dopiero odpowiedź na to pytanie pozwala podjąć racjonalną decyzję.
Dobrym przykładem zdarzenia, które często nie wymaga zgłoszenia, jest zgubienie zaszyfrowanego nośnika danych, takiego jak pendrive czy dysk zewnętrzny, pod warunkiem że zastosowano skuteczne szyfrowanie, a klucz lub hasło były przechowywane osobno i nie doszło do ich ujawnienia. W takiej sytuacji administrator może zasadnie uznać, że ryzyko naruszenia praw i wolności osób fizycznych jest mało prawdopodobne.
Podobnie przypadkowe ujawnienie danych, które są już powszechnie dostępne w publicznych rejestrach, takich jak CEIDG czy KRS, nie zawsze będzie wymagało zgłoszenia. Trzeba jednak uważać – decydujące znaczenie ma kontekst. Dane publiczne ujawnione w nowym zestawieniu, połączone z innymi informacjami lub przedstawione w innym celu, mogą generować nowe ryzyko, którego wcześniej nie było.
Najważniejsze jest jednak to, że brak obowiązku zgłoszenia nie oznacza braku obowiązków po stronie administratora. Każde naruszenie – także to, które uznano za niepodlegające zgłoszeniu – powinno zostać odnotowane w wewnętrznym rejestrze naruszeń, wraz z opisem zdarzenia, przeprowadzoną analizą ryzyka oraz uzasadnieniem decyzji. To właśnie ta dokumentacja będzie kluczowa w razie kontroli lub pytań ze strony organu nadzorczego.
Z perspektywy praktyki UODO warto pamiętać o jednej zasadzie: organ nie oczekuje od administratorów nieomylności, lecz rozsądnego, udokumentowanego procesu decyzyjnego. Jeżeli administrator potrafi wykazać, że przeanalizował zdarzenie, ocenił jego skutki i na tej podstawie racjonalnie uznał, że ryzyko dla osoby fizycznej jest mało prawdopodobne, brak zgłoszenia nie powinien być oceniany negatywnie. Największym problemem nie jest bowiem podjęcie decyzji o niezgłoszeniu, lecz brak dowodów, że jakakolwiek decyzja została w ogóle podjęta.
Potrzebujesz pomocy z naruszeniem ochrony danych?
Pamiętaj, że każde naruszenie ochrony danych powinno zostać ocenione, odpowiednio udokumentowane i w razie potrzeby zgłoszone. Jeżeli masz wątpliwości co do dalszych kroków, sprawdź, jak wygląda prawidłowa procedura – kliknij tutaj i skorzystaj z naszej pomocy.
Najczęstsze błędy w ocenie naruszeń danych osobowych
Jednym z najczęstszych błędów jest założenie, że skoro osoba, której dane dotyczą, nie zgłosiła problemu, to ryzyko nie istnieje. RODO nie uzależnia oceny ryzyka od reakcji osoby fizycznej. Innym błędem jest utożsamianie naruszenia wyłącznie z winą administratora. Naruszenie może wystąpić nawet wtedy, gdy zabezpieczenia były prawidłowe.
Poważnym problemem jest również brak dokumentacji decyzji. Nawet trafna decyzja o niezgłaszaniu naruszenia może zostać zakwestionowana, jeżeli administrator nie będzie w stanie wykazać, jak przebiegał proces oceny ryzyka.
Dlaczego analiza przykładów naruszeń jest tak istotna dla organizacji?
Analiza realnych, życiowych przykładów pozwala zrozumieć, że naruszenia danych osobowych są częścią codziennego funkcjonowania organizacji. To nie są zdarzenia wyjątkowe – to test dojrzałości organizacyjnej. Im szybciej organizacja potrafi je rozpoznać, tym mniejsze są ich konsekwencje.
Przykłady pokazują również, że większości naruszeń można zapobiec poprzez proste działania: jasne procedury, szkolenia pracowników, dobre praktyki organizacyjne i kulturę zgłaszania incydentów bez strachu przed karą.
Podsumowanie
Naruszenie danych osobowych nie musi oznaczać katastrofy ani kary. Największym zagrożeniem jest brak świadomości, że doszło do naruszenia, oraz brak reakcji. Organizacje, które potrafią szybko rozpoznać zdarzenie, ocenić ryzyko i udokumentować swoje działania, są w praktyce znacznie bezpieczniejsze prawnie niż te, które próbują problem ignorować.
